Добавить в корзинуПозвонить
Найти в Дзене
Герман Геншин
21,1 тыс подписчиков

Новая группа хакеров AtlasCross использует Американский Красный Крест в качестве фишинговой приманки

757
3 мин
Новая хакерская группа APT под названием "AtlasCross" атакует организации с помощью фишинговых заманух, выдавая себя за Американский Красный Крест, для доставки вредоносных программ с бэкдором. Компания NSFocus, специализирующаяся на кибербезопасности, обнаружила два ранее не документированных трояна - DangerAds и AtlasAgent, связанных с атаками новой APT-группы. По данным NSFocus, хакеры AtlasCross отличаются изощренностью и уклончивостью, что не позволяет исследователям определить их происхождение. "После глубокого изучения процесса атаки специалисты NSFOCUS Security Labs обнаружили, что этот APT-злоумышленник значительно отличается от известных по потоку выполнения, стеку технологий атаки, инструментам атаки, деталям реализации, целям атаки, тенденции поведения и другим основным показателям атрибуции", - поясняет NSFocus. "Также заслуживает внимания технический уровень и осторожность, проявленная этим злоумышленником в ходе данной активности". Цепочка атак AtlasCross Атаки AtlassCro
Оглавление

Новая хакерская группа APT под названием "AtlasCross" атакует организации с помощью фишинговых заманух, выдавая себя за Американский Красный Крест, для доставки вредоносных программ с бэкдором.

Компания NSFocus, специализирующаяся на кибербезопасности, обнаружила два ранее не документированных трояна - DangerAds и AtlasAgent, связанных с атаками новой APT-группы.

По данным NSFocus, хакеры AtlasCross отличаются изощренностью и уклончивостью, что не позволяет исследователям определить их происхождение.

"После глубокого изучения процесса атаки специалисты NSFOCUS Security Labs обнаружили, что этот APT-злоумышленник значительно отличается от известных по потоку выполнения, стеку технологий атаки, инструментам атаки, деталям реализации, целям атаки, тенденции поведения и другим основным показателям атрибуции", - поясняет NSFocus.

"Также заслуживает внимания технический уровень и осторожность, проявленная этим злоумышленником в ходе данной активности".

Цепочка атак AtlasCross

Атаки AtlassCross начинаются с фишингового сообщения, выдаваемого за письмо от Американского Красного Креста, в котором получателя просят принять участие в "акции по сбору крови в сентябре 2023 года".

Эти письма содержат вложение в виде документа Word (.docm) с макросами, в котором жертве предлагается нажать кнопку "Enable Content" для просмотра скрытого содержимого.

Однако это приводит к запуску вредоносных макросов, которые заражают устройство Windows вредоносными программами DangerAds и AtlasAgent.

-2

Сначала макросы распаковывают ZIP-архив на устройстве Windows, в который помещается файл с именем KB4495667.pkg, представляющий собой системный профайлер и загрузчик вредоносного ПО DangerAds. Создается запланированная задача "Обновления Microsoft Office", которая запускает DangerAds ежедневно в течение трех дней.

DangerAds работает как загрузчик, оценивая окружение хоста и запуская встроенный шелл-код, если в имени пользователя или имени домена системы встречаются определенные строки, что является примером узкой направленности AtlasCross.

В конечном итоге DangerAds загружает файл x64.dll, который представляет собой троян AtlasAgent - конечную полезную нагрузку атаки.

-3

Подробности об AtlasAgent

AtlasAgent - это пользовательский троян на языке C++, основными функциями которого являются извлечение информации о хосте и процессе, предотвращение запуска нескольких программ, выполнение дополнительного шелл-кода на скомпрометированной машине и загрузка файлов с C2-серверов злоумышленника.

При первом запуске вредоносная программа отправляет на серверы злоумышленников информацию, включая имя локального компьютера, информацию о сетевом адаптере, локальный IP-адрес, информацию о сетевой карте, архитектуру и версию ОС, а также список запущенных процессов.

В ответ серверы злоумышленника передают AtlasAgent команды, которые могут выполняться как в новых потоках, так и в рамках одного из существующих процессов, что затрудняет обнаружение и остановку средствами защиты.

Кроме того, AtlasAgent поддерживает следующие команды:

  • Получение информации о системе компьютера
  • Reverse Shell
  • Получение данных из CnC и сохранение их в указанном файле
  • Поле отладки
  • Приостановить работу программы на определенное время с помощью функции Sleep
  • Получение информации о процессе
  • Внедрить шеллкод в новый поток указанного процесса
  • Реализуется параметрическая функция.
  • Запустить шеллкод напрямую; или создать поток для запуска шеллкода в данном процессе
  • Выйти из обращения
  • Внедрить шеллкод или команду в поток указанного процесса
  • Создать мьютекс
  • Выйти из цикла

Несмотря на то, что отчет NSFocus является первым подробным описанием новой хакерской группы, AtlasCross остается практически неизвестной угрозой, действующей по неясным мотивам и с нечетким целевым охватом.

Избирательное нацеливание, создание троянов и загрузчиков вредоносного ПО, а также предпочтение скрытных методов заражения перед эффективными позволили угрозам действовать незамеченными в течение неопределенного времени.

По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!

Кибербезопасность
25,6 тыс интересуются